ブラウザインジェクションはどのように機能しますか?
Zeus、SpyEye、Citadelなどのマルウェアがブラウザインジェクションを実行してクレジットカードデータを盗むことができると何度も聞いたことがあります。どうやってやっているの?ブラウザの「インジェクション」はどのように機能しますか?彼らはどのようにしてすべてのブラウザデータを改ざんできますか?さらに、ブラウザ拡張機能の作成者がブラウザインジェクションなどを使用して、すべてのブラウザとの互換性を確保しないのはなぜですか。
追加の質問:例として見ることができるソースコードはありますか?あなたはそれでとても滑らかなものを作ることができました!
悪意のあるコードをブラウザー(またはシステム)に挿入することで機能します。脆弱性を悪用して悪意のあるコードを挿入し、悪意のあるコードを挿入します。悪意のあるコードには、何らかのペイロードが含まれています。ペイロードは、ブラウザまたはWebサイトとのやり取りをスパイするようなことを行う場合があります。
悪意のあるユーザーがシステムに悪意のあるコードを挿入する方法を尋ねる場合、重要なフレーズは " drive-by downloads "です。それを検索すれば、もっとたくさん見つかります。基本的に、 ドライブバイダウンロード攻撃 は、ブラウザの脆弱性を悪用して、悪意のあるコードを挿入できるようにします。
ペイロードがクレジットカードを盗む方法を尋ねている場合、答えは、悪意のあるコードがシステムで実行されると、すべてのキーストロークを読み取り、すべてのアプリケーションとのすべてのやり取りをスパイし、フックすることができるということです。内部ブラウザAPI。したがって、悪意のあるコードがシステムで実行されると、あなたはうんざりします。
これらのアプリケーションは通常、ブラウザから直接データを取得しません。
現在のウィンドウ(タイトル)を分析します。たとえば、(ショッピングカート、チェックアウト、転送、安全なhttpsなど)がある場合は、ユーザー入力を取得します(データはブラウザからではなく、直接取得されます)。
彼らはすべてのユーザー入力を取得し、サーバーに機密データのみを送信できます。データは最初に正規表現によってチェックされます。
ここでキーロガーの例を入手できます。
http://www.rohitab.com/discuss/topic/14610-awsome-c-keylogger/
http://sourceforge.net/apps/mediawiki/pykeylogger/index.php?title=Main_Page
私はいつも、これらのインジェクションはhtmlをインジェクトするだけであり、別のコントロールをレンダリングするという印象を受けていました。たとえば、被害者がwww.bankingwebsite.comを閲覧すると、通常はカード番号とパスワードのみを要求するログイン画面が表示されます。
CCV、有効期限、母親の旧姓も必要だとします。 htmlを挿入して、ブラウザーにこれらの追加の質問を表示させることができます。
通常、ハッカーは、詳細を収集したい国/大陸の一般的な銀行ウェブサイトのリストを持っているでしょう。次に、注意が必要なURLを収集し、マルウェアが使用する構成ファイルに追加のHTMLを追加します。
現在、eBayは通常、このようなすべての追加情報を要求することはありません。そこで、すべての被害者の詳細を尋ねるためにHTMLを挿入し、なぜそれを提供する必要があるのかについて理由(詐欺目的)を与えました。
チェックアウト http://www.xylibox.com/2014/04/zeusvm-and-steganography.html